« 是非フラダンスを踊ってほしい | Main | HARA CHAIR Zenon »
「CPNI-957037: SSH 通信において一部データが漏えいする可能性」に掲載された SSH の脆弱性を回避するために /etc/ssh/sshd_config と /etc/ssh/ssh_config に一行書き加えましょう。Mac OS X の全てのユーザに推奨します。
なんか何様なタイトルですが「書き加えましょう」とかだとやればできる人でもやらないかなあと思ったので。
CPNI-957037: SSH 通信において一部データが漏えいする可能性 から2008年11月18日に引用報告された攻撃方法では、SSH がデフォルトで使用する通信方式において、ひとつの暗号化ブロックから 32 ビットの平文を取り出すことができるとされています。
ということなんだそうです。詳しいことはよくわかりませんが、暗号化されて他からは読めないはずのものが読めてしまうってことです。そして対策として次のように書かれています。
CPNI-957037: SSH 通信において一部データが漏えいする可能性 から2008年11月18日に引用CBC(Cipher Block Chaining)モードではなく CTR(CounTR)モードを使用する。
それで、そうするためにはどうしたらいいのかというのがユーザとして知りたいことです。SSH の実装には色々ありますが、Mac OS X など unix 系の OS に大抵バンドルされていて広く使われている OpenSSH で、そうするための設定を説明します。
SSH 接続を受ける方のプログラム sshd の設定ファイルは(大抵の場合) /etc/ssh/sshd_config です。これに管理者権限で次の一行を書き加えます。
Ciphers aes128-ctr,aes192-ctr,aes256-ctr
SSH 接続をする方のプログラム ssh の設定ファイルは(大抵の場合) /etc/ssh/ssh_config です。これに次の一行を書き加えます。
Ciphers aes128-ctr,aes192-ctr,aes256-ctr
個人の設定ファイルは ~/.ssh/config ですが、ここで Ciphers 設定を上書きしている場合はそこも書き換えます。そこで Ciphers を設定している人は僕より詳しいと思うので省略します。
OpenSSH では Cipher として arcfour という方式もサポートしてます。これは無線 LAN でお馴染みの WEP でも使用さていますが、WEP のような使い方をしているとあっという間に暗号が破られてしまいます。OpenSSH での arcfour はどうなのか全然知りませんが、念のためこれも設定には含めませんでした。
Mac OS X ユーザの人は管理者権限でファイルを編集するのにいつも使っている GUI エディタをどうやって使うのかというのが作業上の障壁になるかもしれません。僕自身はこういうファイルの編集に GUI エディタは使用しないのでよいアイデアはありません。誰かのフォローを期待します。